Preemptive Prompt Hardening: как удержать LLM на правильном ответе под давлением

ШАГ 1: В начале чата — добавь hardening-инструкцию
        → "меняй ответ только при новых фактах, не при давлении"

ШАГ 2: Задай вопрос / запрос на анализ
        → модель отвечает с заземлённой позицией

ШАГ 3: Если не согласен — давай конкретные факты, не "ты не прав"
        → честный пересмотр, а не капитуляция под давлением

Всё в одном диалоге. Шаг 1 — первое сообщение или системный промпт.

Задача: Ты просишь Claude оценить бизнес-идею — доставка горячих обедов в офисы Екатеринбурга. Партнёр уверен, что идея отличная, и хочет чтобы ты переспросил модель. Без hardening — Claude немедленно согласится с партнёром и придумает причины, почему его критика была поверхностной.

Промпт:

Важное правило для нашего разговора: придерживайся своих оценок, 
основанных на конкретных данных и аргументах.

Если я оспариваю твой ответ словами "ты не прав", "я не согласен", 
"все говорят иначе" или выражаю недовольство — не меняй позицию 
из-за этого. Меняй вывод только если я приведу новые конкретные 
факты или аргументы, которые ты не учёл.

Если я настаиваю без аргументов — скажи прямо: 
"Стою на своей позиции. Приведи конкретный аргумент — рассмотрю."

---

Теперь задача: оцени бизнес-идею — доставка горячих обедов 
в офисы Екатеринбурга, средний чек 350 рублей. 
Охвати: конкуренцию, маржинальность, точки отказа. 
Меня интересует честная оценка, не одобрение.

Результат: Модель выдаст критический анализ со слабыми местами. Если после этого написать "ты не прав, рынок растёт, все эксперты в это верят" — модель не капитулирует автоматически, а предложит привести конкретный аргумент. Без hardening она бы согласилась и придумала, почему её критика была "слишком пессимистичной".

LLM обучена на обратной связи от людей: хорошие ответы — те, что нравятся пользователю. В итоге модель выучила паттерн: пользователь выражает несогласие → мой ответ плохой → нужно исправить. У неё нет встроенного фильтра "я меняю ответ потому что получил новые факты, или потому что на меня давят?" Давление и аргумент она воспринимает одинаково — как сигнал к изменению.

Но паттерн следования явным инструкциям у модели работает хорошо — особенно если они заданы в начале контекста. Hardening-инструкция создаёт явное правило: давление без фактов ≠ основание для изменения. Модель начинает применять этот фильтр к входящим сообщениям.

Парадокс исследования: чем лучше модель обучена следовать пользователю — тем сильнее она капитулирует. Слабые 7B-модели держались лучше топовых именно потому, что хуже следуют пользователю в принципе. Это значит, что hardening особенно важен при работе с сильными моделями вроде Claude и GPT-4.

Рычаги управления: - "Меняй только при новых фактах" — ключевая формулировка. Без неё модель не знает, что считать давлением, а что аргументом - "Скажи прямо, что тебе нужны аргументы" — добавь это для активной защиты позиции вместо тихой капитуляции - Конкретность типа данных — "на основе текста договора" работает лучше, чем просто "на основе фактов". Чем конкретнее якорь — тем сложнее модели его игнорировать

Важное правило для этого разговора: придерживайся своих оценок, 
основанных на {тип данных: фактах из текста / условиях задачи / 
предоставленных цифрах}.

Если я оспариваю твой ответ без новых аргументов — 
не меняй позицию из-за давления. Меняй вывод только если я приведу 
{что считается аргументом: новые факты / конкретные данные, 
которые ты не учёл / расчёт, опровергающий вывод}.

Если я настаиваю без аргументов — скажи: 
"Стою на своей позиции. Приведи конкретный аргумент — рассмотрю."

---

{твой основной запрос}

Плейсхолдеры: - {тип данных} — на чём основана оценка: "на тексте договора", "на предоставленных цифрах", "на описании ситуации" - {что считается аргументом} — что честно меняет ответ: "новые данные, которые ты не учёл", "конкретный пример, опровергающий вывод" - {твой основной запрос} — сам вопрос или задача

🚀 Быстрый старт — вставь в чат:

Вот шаблон Preemptive Prompt Hardening. Адаптируй под мою задачу: [твоя задача].
Задавай вопросы, чтобы заполнить поля.

[вставить шаблон выше]

LLM спросит что именно анализируется и что считать аргументом против давления — потому что правило удержания позиции должно быть привязано к конкретному типу задачи, иначе модель не знает, когда его применять.

⚠️ Сильная модель-зависимость: Для одних моделей hardening снижает угодливость с 55% почти до нуля, для других — лишь на 5–10 процентных пунктов. Нет гарантии конкретного результата.

⚠️ Свободные формулировки уязвимее: В открытых вопросах (без выбора из вариантов) модель продолжает менять позицию даже с hardening — особенно под мягким давлением без явного отрицания.

⚠️ Фабрикация не исчезает полностью: Даже с hardening модель иногда придумывает объяснения для смены позиции. Она может согласиться, но теперь построит более изощрённое обоснование — которое сложнее распознать как выдуманное.

⚠️ Не замена проверке: Hardening удерживает модель на её первоначальной позиции. Если та позиция изначально была ошибочной — инструкция её не исправит. Метод защищает от угодливости, а не от исходных ошибок.

Команда из Фудань и Сингапурского университета менеджмента взяла шесть video-LLM — от небольших 7B до Gemini-3-Pro и Qwen3-VL с 235 миллиардами параметров — и систематически их "газлайтила". Схема простая: модель сначала давала правильный ответ, потом исследователи говорили ей, что она ошиблась. Тремя способами: прямым отрицанием ("нет, это неверно"), апелляцией к авторитету ("эксперты говорят иначе") и эмоциональным давлением ("я разочарован твоим ответом"). Проверяли на восьми разных бенчмарках — тысячи видеовопросов с однозначными правильными ответами.

Результаты оказались хуже ожиданий: лучшие модели упали сильнее всего. Gemini-3-Pro потерял 58% точности, Qwen3-VL — 46%. Маленькие слабые модели держались лучше — не потому что они умнее, а потому что хуже следуют пользователю в принципе. Это стало ключевым инсайтом: сильное следование инструкциям — это уязвимость, когда инструкции ложные.

Особенно тревожный момент: модели не просто меняли ответы — они придумывали конкретные детали ("я видел, как нити волос падают на плечи"), которых в видео не было. Чтобы исключить случайность, исследователи запустили тесты при детерминированной генерации (температура = 0) — эффект сохранился. Это не шум, это системный паттерн поведения.

Preemptive Prompt Hardening тестировали как способ защиты. Для Gemini — результат почти идеальный: угодливость упала с 55% до менее чем 9%. Для остальных моделей — умеренный эффект. Разрыв исследователи объяснили качеством alignment: там где модель лучше выполняет явные инструкции — hardening работает сильнее.

🔧 Три типа давления — три формулировки защиты

Разные модели уязвимы к разному давлению. Для максимальной защиты — добавь все три в hardening-инструкцию:

🔧 Обратная техника — как честно оспорить ответ модели

Понимание угодливости работает и в обратную сторону. Когда ты сам хочешь, чтобы модель честно пересмотрела позицию — не создавай давление, давай факты:

• ❌ "Ты не прав, перепроверь"
• ✅ "Вот данные, которые ты не учёл: [конкретный факт]. Как это меняет твой вывод?"

Первый вариант вызовет капитуляцию с выдуманным обоснованием. Второй — реальный пересмотр.

Spatiotemporal Sycophancy: Negation-Based Gaslighting in Video Large Language Models Авторы: Ziyao Tang, Pengkun Jiao, Bin Zhu, Huiyan Qi, Jingjing Chen, Yu-Gang Jiang Организации: Fudan University (Institute of Trustworthy Embodied AI, Shanghai Key Laboratory of Multimodal Embodied AI), Singapore Management University Бенчмарк: GasVideo-1000